CVE-2024-39614

CVSS 7.5 HIGHEPSS 30.1%CWE-130

En resumen

La función de detección de idioma de Django puede ser sobrecargada por cadenas muy largas con caracteres específicos, haciendo la aplicación lenta o no disponible. Los atacantes pueden interrumpir el servicio sin necesidad de permisos especiales.

Detalle técnico

La función get_supported_language_variant() en Django 5.0 (<5.0.7) y 4.2 (<4.2.14) es vulnerable a ataques de denegación de servicio cuando procesa cadenas excesivamente largas con patrones de caracteres específicos. El ataque no requiere autenticación y puede ser disparado a través de entradas de preferencia de idioma, resultando en agotamiento de CPU e indisponibilidad del servicio.

Resumen generado y traducido por IA a partir de la descripción oficial.

An issue was discovered in Django 5.0 before 5.0.7 and 4.2 before 4.2.14. get_supported_language_variant() was subject to a potential denial-of-service attack when used with very long strings containing specific characters.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://docs.djangoproject.com/en/dev/releases/security/https://groups.google.com/forum/#%21forum/django-announce https://security.netapp.com/advisory/ntap-20240808-0005/https://www.djangoproject.com/weblog/2024/jul/09/security-releases/